并发情况下Flask Session无法正确保存数据

问题

  在多个并发请求修改session数据的情况下, Flask Session无法成功保存所有的session数据,不管是默认的Flask session模块还是使用redis作为存储的Flask-Session库。举个例子:   服务器代码如下:

import time
from flask import Flask, session
from flask_session import Session

app = Flask(__name__)
app.secret_key = "example"
app.config["SESSION_TYPE"] = "redis"
Session(app)

@app.route("/set/<value>")
def set_value(value):
    """Simulate long running task."""
    time.sleep(1)
    session[value] = "done"
    return "ok\n"

@app.route("/keys")
def keys():
    return str(session.keys()) + "\n"

  测试代码如下:

# 创建cookie文件
curl -c 'cookie' http://localhost:5007/keys
# 使用上面创建的cookie文件,发起三个并发请求。
curl -b 'cookie' http://localhost:5007/set/key1 && echo "done1" &
curl -b 'cookie' http://localhost:5007/set/key2 && echo "done2" & 
curl -b 'cookie' http://localhost:5007/set/key3 && echo "done3" &
wait
# 获取服务器端Session数据
curl -b 'cookie' http://localhost:5007/keys

  运行的结果如下:

$ sh test.sh 
dict_keys(['_permanent'])
ok
ok
ok
done3
done1
done2
dict_keys(['_permanent', 'key2'])

$ sh test.sh 
dict_keys(['_permanent'])
ok
done3
ok
ok
done2
done1
dict_keys(['_permanent', 'key1'])

  每次都是发起三个并发请求,但是都只保存了最后一个请求的数据,理论上不应该是三个都保存成功吗?

分析

  Cookie-based session不是线程安全的,所有的请求都是根据Cookie来操作Session里的数据的。这不是Flask的问题,而是HTTP标准就这么设计的。   这地方的主要问题是,三个并发请求使用的同样的Cookie向服务器发起请求,这个cookie只包含了_permanent这一个数据。服务器端根据三个并发请求的cookie数据,三个请求的session值都是只包含_permanent这一个数据,所以后来的请求就覆盖了前面请求的session数据。   在实际的情况下,比如登录,是不会出现在同一个时间,发起多个并发请求的,所以一般情况下,这种设计没有问题的。   在上面的问题中,也使用的Flask-Session这个库,并且使用Redis作为数据存储,但是当我们仔细查询Flask-Session的代码会发现,Flask-Session这个库没有单独存放每个session数据,而是把所有的session数据序列化成一个字符串,然后存放在Redis里面,而Redis的Key-Value结构是新数据覆盖旧数据的,所以也有同样的问题。如果采用其他的数据库,比如Mysql,则不会有这样的问题。但是具体的Session中间件逻辑,就得靠自己实现了。

Comments